북한 해킹, '빈도↓ 피해↑'... 한 번 노리면 수천억 탈취

북한이 과거 무차별적인 해킹 시도에서 벗어나, 성공 가능성이 높은 대형 목표에 집중하는 전략으로 전환한 것으로 나타났다. 공격 빈도는 줄었지만 한 번의 공격으로 탈취하는 금액이 커지면서, 전 세계 가상자산 시장에 미치는 충격은 오히려 커지고 있다.

보안업계에 따르면, 미국의 블록체인 분석 기업 체이널리시스는 최근 보고서를 통해 북한 연계 해킹 조직이 2025년 한 해 동안 약 20억2천만 달러(약 3조 원)의 가상자산을 탈취했다고 발표했다. 이는 전년 대비 50% 이상 증가한 규모로, 북한의 해킹 전략이 양보다 질을 추구하는 방향으로 진화했음을 보여준다. 실제로 전체 공격 횟수는 2024년보다 74% 줄었지만, 한 건당 탈취한 금액은 훨씬 커졌으며, 올해 해킹으로 피해를 본 전체 암호화폐 서비스 중 북한이 차지한 비중은 76%에 달했다.

기존에는 보안이 허술한 분산금융(디파이) 서비스를 주로 노려왔던 북한은 이제 주요 중앙화 거래소(CEX)나 핵심 네트워크 인프라를 목표로 정밀한 작전을 수행하고 있다. 체이널리시스는 북한 해커들이 몇 달간 타깃을 분석한 뒤, 단 한 번의 공격으로 수억 달러를 탈취할 수 있는 대상을 골라 집중적으로 자원을 투입하고 있다고 분석했다. 2025년 초 업비트에서 발생한 445억 원 규모의 해킹이나 바이비트 사례가 대표적인 예이다.

해킹 이후의 자금 세탁 방식도 정교해졌다. 북한 연계 조직은 탈취한 금액을 50만 달러 이하의 소액으로 분할해 수천 개의 지갑으로 송금하고, 이 과정을 보통 45일 안에 마무리한다. 이러한 ‘개미떼 세탁’ 방식은 자금 흐름을 분산시켜 인공지능 기반 모니터링 시스템의 추적을 피하기 위한 전략이다. 특히, 해킹 직후 집중적으로 이루어지는 감시를 피하기 위해 일정 기간 송금을 유예하는 ‘스테이징’ 전략도 동원된다.

세탁된 자금의 종착지는 주로 동남아 지역으로 확인됐다. 특히 캄보디아를 기반으로 한 후이원(Huione)이라는 결제 그룹은 북한의 주요 자금 세탁 통로로 지목됐다. 미국 재무부는 해당 단체를 올해 공식적으로 '핵심 자금세탁 우려 기관'으로 지정했다. 후이원은 2021년부터 최소 40억 달러 규모의 불법 자금을 세탁한 것으로 나타났으며, 이 중 상당 부분이 북한 해킹 조직과 연관되어 있다고 보고됐다.

전문가들은 북한의 사이버 공격이 단순한 기술 침투를 넘어서 사람의 심리를 노리는 사회공학적 수법으로까지 발전했다고 경고한다. 예를 들어, 북한 해커들은 글로벌 IT 기업의 인사 담당자를 사칭해 기술 인터뷰를 유도하고, 그 과정에서 악성 소프트웨어를 심거나 내부 네트워크에 접근하는 방식으로 추가 피해를 키우고 있다.

이 같은 흐름은 향후 북한이 더 적은 공격으로 더 큰 경제적 효과를 거두는 ‘정밀 금융 작전’ 전략으로 이어질 가능성이 높다. 이에 따라 단순한 대규모 자금 추적보다는 패턴 기반의 정교한 탐지 시스템과, 동남아 및 장외거래 시장에 대한 국제 공조가 시급해졌다는 지적이 나온다.